Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。
どうも rootkit を仕込まれたのではないかと、非 Win マシンで AVG (ウィルス・スキャン)の ISO を CD に焼き、当該マシン含め Win 機をスキャンしましたが、それらしいものは出てきません(tracking cookie や暗号化済ファイルは検知します)。
もしかするとずっと以前から感染していた可能性もある訳ですが先日、迂闊にも Firefox でスパム経由のヤバそうなサイトを踏んでしまい、そのあとで異常に気付きました。ちなみに、なんとか MBR もフォーマットした上でクリーン・インストールしてみましたが、先程症状の再発を確認しました。
つきましては、
・この症状の見立て
・取るべき対策
を御教示いただければと存じます。
当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・スキャンしてからデータを取り出せばよいのでは?と考えています。
以上、宜しくお願いします。
MBRをクリアして、クリーンインストールをしてもだめというのは
どう考えてもおかしいと思います。
>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。
これは具体的にはどういう現象でそれを確認されたのでしょうか?
>当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・
>インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・
>スキャンしてからデータを取り出せばよいのでは?と考えています。
現状では、このようなことをしても、セキュリティ強度からから考えて同じだと思いますが・・。
これが効果があると思われるのは、XPのインストールディスク自体が汚染されてる状況ぐらいで
それはありえないと考えるのが普通ですから、XPをWindows7に変えるだけでほかの条件は同じでしたら
ぜんぜん、状態は変化してません。
その後、ウィルス・スキャンをしたとしても、非 Win マシンで AVG (ウィルス・スキャン)と同等です。
どこかでなにか勘違いしてる可能性のほうが高いです。
それか、「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」の現象の起こる前と
起こった後を観測できない限り、どんなほうほうも意味ありません。
ネットワークに接続しないで、クリーンインストールした直後に、
「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」
というのはありえないと思いますが・・・。
このときに、そうでなくて、何かの後にそうなったらそれが原因です。
HDDに不良セクタとかができていてとかはありえないこともないですが、
この場合は、別の新しいHDDを使って確認するしかないです。
MBRをクリアして、クリーンインストールをしてもだめというのは
どう考えてもおかしいと思います。
>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。
これは具体的にはどういう現象でそれを確認されたのでしょうか?
>当方と致しましては、システム・ディスクをリプレースした上で Win (7 に格上げ?)をクリーン・
>インストールし、そこで極力頑健なシステムを構築したあとで、汚染が懸念されるディスクをウィルス・
>スキャンしてからデータを取り出せばよいのでは?と考えています。
現状では、このようなことをしても、セキュリティ強度からから考えて同じだと思いますが・・。
これが効果があると思われるのは、XPのインストールディスク自体が汚染されてる状況ぐらいで
それはありえないと考えるのが普通ですから、XPをWindows7に変えるだけでほかの条件は同じでしたら
ぜんぜん、状態は変化してません。
その後、ウィルス・スキャンをしたとしても、非 Win マシンで AVG (ウィルス・スキャン)と同等です。
どこかでなにか勘違いしてる可能性のほうが高いです。
それか、「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」の現象の起こる前と
起こった後を観測できない限り、どんなほうほうも意味ありません。
ネットワークに接続しないで、クリーンインストールした直後に、
「Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます」
というのはありえないと思いますが・・・。
このときに、そうでなくて、何かの後にそうなったらそれが原因です。
HDDに不良セクタとかができていてとかはありえないこともないですが、
この場合は、別の新しいHDDを使って確認するしかないです。
回答ありがとうございます。
>>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。
>これは具体的にはどういう現象でそれを確認されたのでしょうか?
タスク・マネージャー上で確認しました。
元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます(なんとも杜撰な crack に見えますよね)。わたしはこれが OS の動作として異常にしか思えなくなり、感染を疑いました。あと、HDD の他のパーティションに、勝手にワトソンが出来上がり、その後、消えた症状もあります。
そこで追加質問なのですが、CD から直接起動した AVG で rootkit などのウィルスが発見できない可能性はありましょうか?
> どこかでなにか勘違いしてる可能性のほうが高いです。
誠に以って、おっしゃるとおりです。
直近のクリーン・インストールは、XP をインストール後、すぐに商用ウィルス対策ソフトをダウンロードして導入、そのあと Windows Update を繰り替えした上でシステムを再構築しました。
どうも混乱しております。
引き続き、御教示いただければ幸いです。
|元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます
単にどのユーザーで起動しても、SYSTEMで起動するようなサービスとかそういう系統のアプリではないんでしょうか?
「いつのまにか」と申しております。
ちなみにアプリは Firefox と Thunderbird です。
回答ありがとうございます。
>>Win XP 64bit に於ける制限ユーザー起動アプリの権限が奪取され SYSTEM に化けてしまいます。
>これは具体的にはどういう現象でそれを確認されたのでしょうか?
タスク・マネージャー上で確認しました。
元々、RUNAS で制限ユーザーで起動したアプリ(その権限をタスク・マネージャー上で確認済)が、いつのまにか "SYSTEM" になってます(なんとも杜撰な crack に見えますよね)。わたしはこれが OS の動作として異常にしか思えなくなり、感染を疑いました。あと、HDD の他のパーティションに、勝手にワトソンが出来上がり、その後、消えた症状もあります。
そこで追加質問なのですが、CD から直接起動した AVG で rootkit などのウィルスが発見できない可能性はありましょうか?
> どこかでなにか勘違いしてる可能性のほうが高いです。
誠に以って、おっしゃるとおりです。
直近のクリーン・インストールは、XP をインストール後、すぐに商用ウィルス対策ソフトをダウンロードして導入、そのあと Windows Update を繰り替えした上でシステムを再構築しました。
どうも混乱しております。
引き続き、御教示いただければ幸いです。